Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Vyskakující okno

Dobrý den,
každých pár minut mi na noťasu vyskakuje dialogové okno:

Windows Script Host
Soubor skriptu C:\Users\root\AppData\Local\Temp\arwg.vbs nebyl nalezen.

Kromě velmi zvláštně barevné ikonky je divná i prázdná složka Local která pro výmaz vyžaduje oprávnění správce.

Nevíte někdo o co se jedná a jak problém vyřešit?

Děkuji
davoule

Předmět Autor Datum
Vypadá to jako pozůstatek po nějakém malware. Takže pořádně prověřit systém, něco tam ještě nejspíš…
Wikan 13.01.2020 17:51
Wikan
Tak teď se složka Local zaplnila divnýma složkama (šílené názvy kombinace písmen a čísel) a některé…
davoule 13.01.2020 17:53
davoule
A antivirus nic nehlásí ani po hloubkové kontrole ani když dám zkontrolovat jednotlivé složky
davoule 13.01.2020 17:55
davoule
Antivirus ne,zkus AdwCleaner a MBAM.
Karel04 13.01.2020 18:01
Karel04
JRT.exe, RougeKiller x64 *exe - portable verzia
Nuda 13.01.2020 18:08
Nuda
Soubor skriptu C:\Users\root\ ... hehe, hrozně vtipné. AppData\Local\Temp\arwg.vbs nebyl nalezen. o…
lední brtník 13.01.2020 20:20
lední brtník
Antivirus teda po několika kontrolách objevil: C:\Users\root\AppData\Local\Google\Chrome\User Data\…
davoule 13.01.2020 21:04
davoule
Děláš tu kontrolu v nouzovém režimu?
Wikan 13.01.2020 21:06
Wikan
Nene, ale kontrol jsem dělal už hodně a různými způsoby. Antivirus (ESET) na nic nepřichází.
davoule 14.01.2020 21:51
davoule
Antivirus je proti virům. Ty nemáš virus, ale nějakej spyware/adware, toho si antivirus nevšímá. Pro…
MachR55 15.01.2020 13:57
MachR55
no to vyzerá tak zavšivené, že radši bych nestrácal čas ani odstraňovaním virov, ale rovno bych odje…
Mlocik97 13.01.2020 21:18
Mlocik97
to se nikdy nic nenaučí a nepochopí, jak funguje prohlížeč a automaticky spouštěné doplňky.
lední brtník 13.01.2020 22:05
lední brtník
Windows Script Host je zcela normální součást windows. je to přehrávač skriptu - nebo ve tvém případ…
lední brtník 13.01.2020 22:03
lední brtník
Vyskakuje to i když je počítač odpojený od internetu. Odinstalování se brání zuby nehty, tváří se ja…
davoule 14.01.2020 21:50
davoule
chrome nepoužívám, je to nejméně bezpečný shit, čili umístění jeho souborů neznám. škodlivý doplněk,…
lední brtník 14.01.2020 22:30
lední brtník
Mate v počítači asi nejakú škodnú. Vykonajte kontrolu v tomto rozsahu: 1. Najskôr sa presvedčte o t…
Ansam 14.01.2020 22:25
Ansam
Soubor skriptu C:\Users\root\AppData\Local\Temp\arwg.vbs nebyl nalezen. Podle té hlášky bych soudil…
IQ37 14.01.2020 23:14
IQ37
Noo tak teď jsem zjistil, že už nejde ani odinstalovat Chrome :D tak já už fákt nevím
davoule 15.01.2020 13:51
davoule
Preinštalujte celý systém,... máte to totálne rozbité...
Mlocik97 15.01.2020 13:54
Mlocik97
Odinstalace Chromu stejně nepomůže, protože ponechává uživatelský profil na disku bez dotknutí - a t…
MachR55 15.01.2020 14:00
MachR55
Pomohlo až pomocí správce souboru najít arwg.vbs aplikaci, přidělit si k ní veškerá práva a natvrdo…
davoule 30.01.2020 08:38
davoule
bootovací cd (linux / antivir / win pe / hirens ...), smazat půjdou levou zadní. možná i v tom nouzo… poslední
lední brtník 30.01.2020 09:14
lední brtník

Soubor skriptu C:\Users\root\ ... hehe, hrozně vtipné.
AppData\Local\Temp\arwg.vbs nebyl nalezen.

odpojit od sítě, začít deratizovat.
může to být vir i spyware. tvůj av nic nenašel, takže ten adwcleaner nebo rogue killer.
taky jde zkusit některé z av bootovacích cd: https://free.drweb.com/aid_admin/

tipuju že nákaza přichází přes chrome, je to automatický instalátor malware.

pokud používáš vnc, jrt ti ho zruší. (s tvým problémem to nesouvisí, jenom že ten krám páchá ještě další škodu)

Antivirus teda po několika kontrolách objevil:

C:\Users\root\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00122f » ISO » patch_3.877-8273.exe - varianta Generik.JIYWEAN trojský kůň - vymazán
C:\$Recycle.Bin\S-1-5-21-1375889886-1898031426-1462930244-1000\$RJMNC9I.iso » ISO » patch_3.877-8273.exe - varianta Generik.JIYWEAN trojský kůň - vymazán
C:\$Recycle.Bin\S-1-5-21-1375889886-1898031426-1462930244-1000\$RJMNC9I.iso » ISO » patch_3.877-8273.exe - varianta Generik.JIYWEAN trojský kůň - vymazán

Zmíněný AdwCleaner - jak jsem zmínil - z počítače odstranil 29 hrozeb, ale pořád se okno objevuje i po restartu a zamezení přístupu k internetu.
Aplikace Windows Script Host se sice dá v počítači najít, ale nelze jí odstranit (jako správce mám prý nedostatečná práva).

Už opravdu nevím.

Antivirus je proti virům.
Ty nemáš virus, ale nějakej spyware/adware, toho si antivirus nevšímá. Proto ty kontroly AdwCleanerem (29 hrozeb - jakých? AdwCleaner má svůj log) a také MBAM. A spouštět v nouzovém režimu Windows se musí proto, aby ten šmejd nebyl aktivní (některý se smazání ubrání, jsou-li spuštěný).

Windows Script Host je zcela normální součást windows. je to přehrávač skriptu - nebo ve tvém případě nějakého malware, napsaného jako script.
asi by to šlo zakázat nebo odinstalovat (-> google), ale taky se můžeš podívat co se ti spouští po startu:
ms autoruns -> záložky: logon (po spuštění), scheduled tasks (naplánované úlohy).

taky to může být dosud neodhalený doplněk v mrzkém prohlížeči: nepíšeš, jestli to okno vyskakuje kdykoliv ve windows, nebo jen při běžícím chromákovi.

chrome nepoužívám, je to nejméně bezpečný shit, čili umístění jeho souborů neznám.
škodlivý doplněk, který by neustále stahoval/generoval nové skripty a předhazoval je tomu wsh, může ležet ve tvém profilu chrome, v podadresáři extensions (záleží na typu instalace chrome). využívají funkci skrývání doplňků, kterou google zavedl pro ty své a po něm to začali zneužívat všichni malwaristi.

nejde jen o připojení k netu, ale o běžící prohlížeč - škodlivý doplněk má ty reklamy stažené i do zásoby.
rozumím tomu správně, že kontrola co se spouští pomocí ms autoruns neproběhla? no je to tvůj pc, dělej si co chceš.

pořád nevím co chceš odinstalovat - myslíš tu součást windows? tak si někde vygoogli "disable windows script host", taky možnost.
nebo si změň asociaci .vbs na notepad.

Tak teď se složka Local zaplnila divnýma složkama (šílené názvy kombinace písmen a čísel) a některé jsou systémové.
bootovací cd (linux / antivir / win pe / hirens ...), smazat půjdou levou zadní. možná i v tom nouzovém režimu, pokud používáš normálního správce souborů. s průzkumníkem ani neztrácej čas.

Mate v počítači asi nejakú škodnú. Vykonajte kontrolu v tomto rozsahu:

1. Najskôr sa presvedčte o tom, či zdroj problémov nie je nainštalovaný v počítači (Ovládací panel - Programy). Ak je v zozname zapísaný nejaký podozrivý (neznámy) program, odinštalujte ho.

2. Skontrolujte nainštalované rozšírenia v internetovom prehliadači - podozrivé (neznáme) rozšírenia odstráňte.

3. Najlepšie v núdzovom režime systému a s odpojeným pripojením k sieti vyčistite počítač použitím softvéru AdwCleaner
https://toolslib.net/downloads/viewdownload/1-adwcleaner
Všetko čo nájde odstráňte.

4. Najlepšie v núdzovom režime systému a s odpojeným pripojením k sieti vyčistite počítač použitím softvéru MBAM free verzia: https://www.malwarebytes.org/
Všetko čo nájde odstráňte.

Soubor skriptu C:\Users\root\AppData\Local\Temp\arwg.vbs nebyl nalezen.

Podle té hlášky bych soudil, že ti antivirák nebo antimalware zlikvidoval ten soubor arwg.vbs (nebo jsi prostě promazal TEMP), ale něco ho opakovaně zkouší spustit i když tam není. Kontroloval jsi Plánovač úloh? Zkus taky prohledat registry, jestli tam nenajdeš nějakou zmínku o arwg.vbs

Odinstalace Chromu stejně nepomůže, protože ponechává uživatelský profil na disku bez dotknutí - a tam se právě hromadí breberky. SPusť znovu ten AdwCleaner a MBAM, tentokrát ale v nouzovém režimu Windows. Pak uvidíš, přinejhorším čistá instalace systému to jistí...

bootovací cd (linux / antivir / win pe / hirens ...), smazat půjdou levou zadní. možná i v tom nouzovém režimu, pokud používáš normálního správce souborů.

ale že to trvalo.

byl to skript, které antiviry neumí kvůli modifikacím strojově rozeznávat. staral se o stahování součástí a skládání adware apod.
když se nějaký uživatel pojmenuje root, předpokládal bych že trochu tuší, jak funguje jeho systém.

Zpět do poradny Odpovědět na původní otázku Nahoru